Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

TMG

Новое в SP2 для TMG 2010 - страницы ошибок

Вторник, 18 октября 2011 г.
Рубрика: TMG
Метки:
Просмотров: 7841
Подписаться на комментарии по RSS

Помимо исправления ошибок в TMG 2010 Service Pack 2 также появились некоторые новые возможности. В данной статье мы рассмотрим улучшения, связанные с работой сообщений об ошибках. Мы научимся включать их и модифицировать.

Для начала необходимо вручную включить отображение новых страниц ошибок. Для этого необходимо открыть консоль управления TMG, нажать правой кнопкой на массиве и выбрать Properties:

После установки обновления у вас появится новая вкладка “Error Pages”: Далее...

TMG - редирект HTTP запросов на HTTPS/OWA

Понедельник, 29 августа 2011 г.
Рубрика: Exchange Server -> TMG
Метки: |
Просмотров: 9738
Подписаться на комментарии по RSS

Данный метод я использую для перенаправления HTTP запросов к моему TMG серверу на 443 порт. В основном это будет нашим заблудшим пользователям, забывшим написать букву S в протоколе доступа.

Итак, приступаем.  

Перед нашим основным правилом доступа к OWA создаем новое правило:

Правило запрещающее. Обязательно ставим редирект на основной OWA адрес.Далее...

Кэширование контента в Forefront Threat Management Gateway (TMG) 2010

Пятница, 29 июля 2011 г.
Рубрика: TMG
Метки:
Просмотров: 11415
Подписаться на комментарии по RSS

Введение

Forefront Threat Management Gateway (TMG) 2010 в сценарии работы в качестве веб-прокси можете быть настроен на кэширование часто запрашиваемых объектов в память или диск для улучшения производительности просмотра веб-страниц и уменьшения количества потребляемого трафика. Кэширование контента доступно как в сценариях с прямым и обратным прокси.

Как это работает.

При включенном кэшировании контента когда TMG получает запрос от веб-прокси то сперва проверяется наличие запрошенного объекта в кэше. Если запрошенный контент отсутствует в кэше, тогда выполняется обычный запрос к нужному серверу. После ответа сервера TMG возвращает контент клиенту и дополнительно помещает любой доступный для кэширования контент в кэш. Последующие запросы к этому же контенту будут получены непосредственно из кэша и отданы клиенту, без необходимости повторно обращаться за данным контентом в интернет.

Включение кэширования контента

Кэширование контента может быть включено и настроено с помощью мастера Web Access Policy Wizard, который запускается один раз после завершения первичной настройки сервера.

Далее...

Обзор конфигурации DNS для Microsoft Forefront Threat Management Gateway (TMG) 2010

Четверг, 26 мая 2011 г.
Рубрика: TMG
Метки: |
Просмотров: 12841
Подписаться на комментарии по RSS

Введение

Microsoft Forefront Threat Management Gateway (TMG) 2010 очень сильно зависит от самых различных служб для поддержания безопасности сети и оптимального быстродействия. Настройка сетевых интерфейсов и в особенности разрешение имен имеет ключевую роль, особенности в случае если TMG настроен как прямой и обратный прокси. В моей практике очень много проблем с TMG были вызваны неправильной настройкой DNS. В этой статье я хотел бы поговорить о настройке сетевых интерфейсов и требований к DNS серверам для правильного разрешения имен в TMG.

Требования к DNS серверам

При выборе DNS сервера в TMG необходимо принять во внимание несколько важных факторов. За очень редким исключением TMG должен быть настроен на использование только внутренних DNS серверов, которые могут резолвить внутреннее пространство адресов а также внешние адреса. Для обеспечения безотказной работы данные DNS сервера должны быть подключены по быстрым соединениям и иметь достаточно ресурсов для успешной обработки всех входящих запросов на разрешение имен. Это целиком зависит от того, как много пользователей подключены к TMG и каким образом они подключены. Клиент веб-прокси и TMG клиент целиком и полностью зависят от TMG в процессе разрешения имен, увеличивая загрузку DNS серверов. Клиенты SecureNAT выполняют разрешение самостоятельно. Если DNS сервера слишком перегружены или между TMG и DNS проблемы с каналами связи, вы можете испытывать самые разнообразные проблемы в работе TMG. Например результатом этого может быть медленная загрузка страниц или запрос на аутентификацию для пользователей, которые должны быть аутентифицировы прозрачно с помощью NTLM или Kerberos.Далее...

Ошибка "Forefront TMG is not configured to allow SSL requests from this port"

Вторник, 25 января 2011 г.
Рубрика: TMG
Метки:
Просмотров: 11266
Подписаться на комментарии по RSS

Вы можете получить подобную ошибку при попытке зайти на сайт по нестастандартному SSL порту. Для решения данной проблемы можно использовать скрипт, который позволяет изменить разрешенные SSL порты.

Зайдите на сайт www.isatools.org, перейдите в раздел “TMG Tools” и скачайте “ISA Tunnel Port tool”.

Запустите командную строку и наберите

cscript isa_tpr.js /show SSL

Вы увидите какие SSL порты разрешены в настоящее время.

Это может быть изменено (в противном случае вы бы не читали данную статью).

Далее...

Fwengmon.exe и Forefront Threat Management Gateway (TMG) 2010

Вторник, 30 ноября 2010 г.
Рубрика: TMG
Метки: |
Просмотров: 8384
Подписаться на комментарии по RSS

При поддержке блога про гаджеты и usb вентиляторы 2USB.ru и интернет-магазина usb гаджетов shop.2usb.ru

Для продвинутой диагностики ISA сервера используется утилитаfwengmon.exe, однако в новой версии TMG 2010 она более не работает. Однако не стоит переживать по этому поводу, ведь теперь вся таже информация доступна с помощью утилиты netsh.exe в контексте tmg. Ниже я опубликую небольшой список самых часто используемых команд и их эквиваленыт в fwengmon.exe:

Для просмотра созданных объектов, активных сессий, NLB правил и диапазонов используется команда: Далее...

Ошибка при удалении SQL Express 2008

Среда, 21 июля 2010 г.
Рубрика: SQL -> TMG
Метки: | |
Просмотров: 10567
Подписаться на комментарии по RSS

Недавно я проводил тестовое испытание публикации Exchange 2010 через TMG и после этого мне нужно было удалить TMG и связанную с ним установку SQL Express 2008. Когда я попытался удалить SQL Express 2008 из панели управлнеия, я получил следующую ошибку:

Rule "Restart Computer" Failed. A Computer Restart Is Required. 
You Must Restart This Computer Before Installing SQL Server

Restart Computer

Далее...

Блокировка Skype и прочих IM протоколов в Forefront TMG

Понедельник, 12 июля 2010 г.
Рубрика: TMG
Метки:
Просмотров: 22187
Подписаться на комментарии по RSS

Я мало где встречал более легкий способ блокирования систем мгновенного обмена сообщения (IM) чем в Forefront Threat Management Gateway (TMG).Если вы знакомы с любой из ранних версий ISA сервер, вы опреленно должны понимать затруднения, с которыми сталкивается администратор при попытке запретить доступ к IM.

В этой статье я покажу вам как заблокировать Skype, Google Talk, Yahoo Messenger, Live Messenger, и прочее с помощью Forefront TMG 2010.

Перед тем как мы приступим к пошаговой процедуре настройки я бы хотел чтобы вы знали, благодаря каким функциям это возможно. 

  • Microsoft Forefront TMG 2010 теперь умеет осуществлять URL Filtering. URL filtering позволяет вам блокировать веб-контент на основа предопределенных категорий, подобных Chat, Social Networking, или Pornography.
  • Ещё одной новой функцией в TMG 2010 является Outbound HTTPS inspection. Данная фукнция позволяет TMG осуществлять контроль всего пользовательского HTTPS трафика

С помощью этих двух функций мы можем с легкостью заблокировать любые IM сети. Теперь рассмотрим вкратце процедуру настройки:Далее...

Ошибка “RPC Server is unavailable” при запросе сертификата

Воскресенье, 7 февраля 2010 г.
Рубрика: Администрирование Windows
Метки: | |
Просмотров: 14905
Подписаться на комментарии по RSS

При попытке запроса сертификата из оснастки MMC Certificates на компьютере с установленным ISA Server, Threat Management Gateway (TMG) или Unified Access Gateway (UAG) вы можете получить следующее сообщение об ошибке:

“The RPC Server is unavailable”

Данная ошибка может проявится в следствии использования фильтра RPC в ISA Server/TMG. Фильтр RPC гарантирует безопасность проходящего через файервол трафика. DCOM трафик также попадает под действие данного фильтра и может отвергаться. Однако именно DCOM требуется для запроса сертификата.Далее...